BlockSec révèle deux vulnérabilités dans les contrats de biens numériques, 34 millions de dollars d'actifs bloqués.

L'équipe BlockSec a récemment découvert deux vulnérabilités graves dans un contrat de collection numérique. Ces deux vulnérabilités pourraient respectivement entraîner le blocage des actifs des utilisateurs et l'incapacité de retirer les fonds du projet de fête.

Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction utilise une méthode par boucle pour rembourser tous les utilisateurs, mais si l'un de ces utilisateurs est un contrat malveillant, il peut refuser de recevoir le remboursement et faire revenir la transaction, ce qui empêche ainsi l'opération de remboursement de tous les utilisateurs de se réaliser. Bien que ce défaut n'ait finalement pas été exploité, il existe néanmoins un risque potentiel.

Pour ce type de scénario de remboursement, les experts recommandent de prendre les mesures suivantes pour améliorer la sécurité :

1. La restriction est que seuls les comptes personnels peuvent participer au projet de fête.
2. Utilisez des jetons ERC20 tels que WETH plutôt que des actifs natifs
3. Concevoir un mécanisme permettant aux utilisateurs de réclamer activement un remboursement, afin d'éviter les opérations de remboursement en masse.

Le deuxième exploit est causé par une erreur logique dans le code. Dans la fonction de retrait des fonds par le projet de fête, il existe une instruction conditionnelle qui devrait comparer "le progrès du remboursement" et "l'index des enchères", mais qui, par erreur, compare avec "le nombre total d'enchères". Cela empêche la condition d'être jamais satisfaite, et le projet de fête ne peut donc pas retirer les fonds du contrat. Actuellement, plus de 34 millions de dollars d'actifs sont bloqués dans le contrat.

Ces problèmes soulignent à nouveau l'importance de réaliser des tests complets et des audits de sécurité dans le développement de projets de blockchain. En particulier dans le domaine des objets numériques, il existe encore un manque de sensibilisation à la sécurité et de pratiques d'audit, ce qui peut entraîner des pertes économiques graves. Les équipes de développement doivent établir une pensée de sécurité de base, rédiger des cas de test adéquats et effectuer des audits de sécurité professionnels avant la publication, afin d'éviter la survenance d'erreurs de niveau élémentaire.